||||
Symantec.com > Security Response > W32.Welchia.B.Worm
STAMPA QUESTA PAGINA

W32.Welchia.B.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 11 de Febbraio de 2004
Aggiornato: 13 de Febbraio de 2007 12:20:38 PM
Conosciuto anche come: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: Worm
Lunghezza dell’infezione: 12,800 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP


Quando W32.Welchia.B.Worm viene eseguito, si comporta nel modo seguente:
  1. Crea il mutex chiamato "WksPatch_Mutex", che consente di eseguire in memoria solo una copia del worm.

  2. Copia se stesso come %System%\drivers\svchost.exe.

    Note:
    • %System% è una variabile. Il worm individua la cartella di sistema e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
    • Sul sistema Windows XP esiste il file di sistema legittimo %System%\svchost.exe, che ha le stesse dimensioni di file del worm.
    3. Crea il seguente servizio:

      Nome servizio: WksPatch
      Binario servizio: %System%\drivers\svchost.exe
      Nome di visualizzazione servizio: È formato da %string1% %string2% %string3%, dove:
      1. %string1% è una delle seguenti:
        • System
        • Security
        • Remote
        • Routing
        • Performance
        • Network
        • License
        • Internet

      2. %string2% è una delle seguenti:
        • Logging
        • Manager
        • Procedure
        • Accounts
        • Event

      3. e %string3% è una delle seguenti:
        • Provider
        • Sharing
        • Messaging
        • Client

          Per esempio, il nome di visualizzazione del servizio può essere "Security Logging Sharing".

    4. Elimina il servizio "RpcPatch", se questo esiste.

    Nota: questo servizio viene creato da W32.Welchia.Worm.


    5. Verifica l'esistenza dei worm W32.Mydoom.A@mm e W32.Mydoom.B@mm cercando le chiavi di registro:
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
        Explorer\ComDlg32\Version
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
        Explorer\ComDlg32\Version

    6. Tenta di eliminare i worm W32.Mydoom.A@mm e W32.Mydoom.B@mm, se esiste una qualsiasi delle chiavi menzionate al punto 5. A questo scopo il worm compie le azioni seguenti:
      1. Elimina i file seguenti:
        • %System%\ctfmon.dll
        • %System%\Explorer.exe
        • %System%\shimgapi.dll
        • %System%\TaskMon.exe

      2. Elimina il valore "Taskmon" dalle chiavi di registro:
        • HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
          CurrentVersion\Run
        • HKEY_CURRENT_USER\Software\Microsoft\Windows\
          CurrentVersion\Run

      3. Ripristina il valore:

        "@"="%SystemRoot%\System32\webcheck.dll"

        nella chiave di registro:

        HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
        \InProcServer32

      4. Sovrascrive il file HOSTS con il testo seguente:

        #
        #

        127.0.0.1 localhost

    7. Genera degli indirizzi IP casuali ed invia dati di exploit ai medesimi nel tentativo di infettare i sistemi:
      • invia dati sulla porta TCP 135 per sfruttare la vulnerabilità DCOM RPC.
      • invia dati sulla porta TCP 80 per sfruttare la vulnerabilità WebDav.
      • invia dati sulla porta TCP 445 per sfruttare la vulnerabilità Workstation Service.
      • invia dati sulla porta TCP 445 per sfruttare la vulnerabilità Locator service (Servizio di individuazione)..

    8. Esegue un server HTTP su una porta TCP casuale, in modo che i computer vulnerabili possano riconnettersi al computer infetto e scaricare ed eseguire localmente il worm come Wks.Patch.exe.


    9. Cerca i file on le seguenti estensioni nelle cartelle IIS Virtual Roots e %Windir%\Help\\IISHelp\common, se la versione del sistema operativo della macchina infetta è in lingua giapponese:
      • .shtml
      • .shtm
      • .stm
      • .cgi
      • .php
      • .html
      • .htm
      • .asp

        Nota: le cartelle Virtual Roots e IIS Help sono installate come parte del server Internet Information Services di Microsoft.

    9. Sovrascrive i file che trova con il seguente file .htm:





    10. Scarica uno dei seguenti patch dal sito Web Windows Update di Microsoft, se la versione del sistema operativo della macchina infetta è in lingua cinese (semplificata), cinese (tradizionale), coreana o inglese:
      • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
        /WindowsXP-KB828035-x86-CHS.exe
      • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
        /WindowsXP-KB828035-x86-KOR.exe
      • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
        /WindowsXP-KB828035-x86-ENU.exe
      • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
        /Windows2000-KB828749-x86-CHS.exe
      • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
        /Windows2000-KB828749-x86-KOR.exe
      • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
        /Windows2000-KB828749-x86-ENU.exe
        Nota: prima di scaricare il patch il worm controlla che questo sia già stato installato e in questo caso, non prova a scaricarlo. Se il patch non è già stato installato, il worm cercherà di scaricarlo prima come normale processo, poi come servizio. Se il download non riesce, il worm non ripete il tentativo. Se il download riesce, il worm elimina il file del patch dopo l'esecuzione.

    13. Installa il patch, quindi riavvia il computer.


    14. Il worm è programmato per terminare l'attività il 1° giugno 2004, o dopo 120 giorni di esecuzione a seconda di cosa si verifica prima.

    Symantec Client Security
    • Componente antivirus: L'11-02-04 è stato reso disponibile un aggiornamento per il motore di Symantec Client Security AntiVirus per attivare la protezione contro W32.Welchia.B.Worm tramite LiveUpdate (vedere qui sopra).
    • Symantec Client Firewall: Symantec Client Firewall viene fornito con il seguente set di regole predefinito "Alta: blocca tutte le applicazioni fino a quando vengono consentite". All'utente viene comunicato tramite notifica della presenza di un tentativo di connessione backdoor e richiesto di utilizzare Consenti, Blocca o Personalizza per impostare una regola per il tentativo di connessione aperto dal worm.

    Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
    • Componente antivirus: È attualmente disponibile un aggiornamento per il motore AntiVirus di Symantec Gateway Security per attivare la protezione contro il worm W32.Welchia.B. Gli utenti di Symantec Gateway Security devono eseguire LiveUpdate.
    • Componente IDS/IPS: Il 18-02-04 è stato reso disponibile un aggiornamento per il motore IDS/IPS di Symantec Gateway Security per attivare la protezione contro W32.Welchia.B.Worm. Si consiglia agli amministratori di Symantec Gateway Security di eseguire LiveUpdate per assicurarsi di essere protetti contro questa minaccia.
    • Componente firewall per il controllo completo dell'applicazione: Per impostazione predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Welchia.B impedendo agli aggressori di utilizzare come vettori di attacco WebDAV, DCOM su http e RPC.

    Inoltre la politica di sicurezza predefinita impedisce agli aggressori di utilizzare le porte blackdoor sui computer infetti.

    Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
    Per impostazione predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Welchia.B impedendo agli aggressori di utilizzare come vettori di attacco WebDAV, DCOM su http e RPC.

    Inoltre la politica di sicurezza predefinita impedisce agli aggressori di utilizzare le porte blackdoor sui computer infetti.

    Symantec HIDS 4.1.1
    Il 17-02-04 Symantec ha rilasciato un pacchetto LiveUpdate per gli utenti di Symantec HIDS 4.1.1. Consultare Symantec Host IDS 4.1.1 Security Update 3 per ulteriori informazioni.

    Symantec ManHunt
    • RPC DCOM
    Questo vettore viene rilevato dalla fimra personalizzata, MS RPC DCOM HEAP Overflow, rilasciata in Security Update 11.
    • SMB Workstation
    Questo vettore viene rilevato dalla firma personalizzata, SMB Workstation Service Overflow, rilasciata in Security Update 12.
    • HTTP WebDAV
    La tecnologia Symantec ManHunt Protocol Anomaly Detection rileva l'attività associata a questo exploit come "HTTP Malformed URL (HTTP_BAD_REQURL5)".
    • Locator Overflow
    Questo vettore viene rilevato dalla firma personalizzata, MS NETBIOS Locator Service Buffer Overflow, rilasciata in Security Update 20.
    • Intruder Alert
    Symantec ha rilasciato la Intruder Alert 3.6 W32_Welchia_B_Worm Policy.

    Consigli

    Symantec Security Response incoraggia tutti gli utenti e gli amministratori ad adottare le seguenti "best practices" di sicurezza di base:

    <>
    • Disattivare e rimuovere i servizi inutili. Molti sistemi operativi installano, per impostazione predefinita, servizi ausiliari non essenziali per il funzionamento del sistema, quali server FTP, telnet e server Web. Tali servizi fungono da punti di accesso per eventuali attacchi, la loro rimozione causa pertanto una diminuzione delle possibilità di attacco da parte delle minacce di tipo misto e comporta anche un minore lavoro di mantenimento dei servizi tramite aggiornamenti.
    • Se una minaccia di tipo misto sfrutta uno o più servizi di rete, disattivare o bloccare il relativo accesso finché non viene applicata una patch.
    • Mantenere sempre aggiornati i livelli delle patch, in particolare nei computer che ospitano servizi pubblici e sono accessibili tramite firewall, quali servizi HTTP, FTP, di posta e DNS (Domain Name System. A titolo di esempio, su tutti i computer basati su Windows dovrebbe essere installato il Service Pack corrente).. Inoltre applicare tutti gli aggiornamenti della sicurezza menzionati in questo documento, nei bollettini di sicurezza affidabili o sui siti Web dei fornitori.
    • Adottare una politica basata sulle password. Password complesse ostacolano la violazione dei file, protetti dalle stesse, presenti sui computer infetti. Ciò aiuta a prevenire o, comunque, a limitare i danni quando un computer viene infettato.
    • Configurare il server di posta elettronica in modo che vengano bloccati o rimossi i messaggi di posta elettronica contenenti in allegato i file utilizzati comunemente per diffondere i virus, ad esempio i file .vbs, .bat, .exe, .pif, e .scr.
    • Isolare rapidamente i computer infetti per impedire ulteriori compromissioni ai danni dell'azienda. Effettuare un'analisi approfondita e ripristinare i computer utilizzando supporti affidabili.
    • Educare il personale della propria azienda a non aprire allegati non attesi. Inoltre, non eseguire software scaricati da Internet senza aver prima effettuato la scansione dei virus. Se non sono stati applicati al browser gli aggiornamenti più recenti, è possibile contrarre un'infezione semplicemente visitando un sito Web.

    Documento di: Yana Liu
    Risparmia il 20% con un abbonomento di 2 anni!
    ©1995 - 2009 Symantec Corporation
    Indice del sito|
    Note legali|
    Trattamento dei dati riservati|
    Contattaci|
    Siti globali|
    Contratti di licenza